Auteur Sujet: Le certificat TLS https://boutique.orange.fr/ révoqué ! (Lu 890 fois)

vivien · « **le:** **Aujourd'hui** à 09:57:18 »

Le certificat TLS https://boutique.orange.fr/ révoqué !

Firefox qui vérifie la révocation affiche cette erreur qu'on ne peut sauter :

Chrome, qui ne vérifie pas la révocation, affiche lui la page :

vivien · « **Réponse #1 le:** **Aujourd'hui** à 09:58:11 »

SLL Labs :

alain_p · « **Réponse #2 le:** **Aujourd'hui** à 10:07:58 »

Après test, je confirme. Cela la fout mal pour Orange, qui a une branche cyber-sécurité...

boutique.orange.fr a recours à une stratégie de sécurité HTTP Strict Transport Security (HSTS), une connexion sécurisée est obligatoire pour y accéder. Vous ne pouvez pas ajouter d’exception pour visiter ce site.

C'est sous Firefox.

P.S : il est quand même étrange que Chrome ne vérifie pas la révocation des certificats...

JeannotPlanche · « **Réponse #3 le:** **Aujourd'hui** à 11:19:06 »

La page Wikipédia explique assez bien ce qu'est le OCSP et pourquoi Chrome ne l'utilise pas.
https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

Adam Langley, Principal Software Engineer chez Google, avait écrit à ce sujet :
https://www.imperialviolet.org/2014/04/29/revocationagain.html

(toutefois le sujet me dépasse)

artemus24 · « **Réponse #4 le:** **Aujourd'hui** à 11:41:51 »

Salut à tous.

Je viens de faire le test d'accès à la boutique orange depuis mon navigateur Mozilla Firefox, aucun problème rencontré. Il se peut que le problème a été corrigé depuis 10H00 aujourd'hui.

Power · « **Réponse #5 le:** **Aujourd'hui** à 11:55:45 »

Bonjour,

Tout fonctionne parfaitement sous firefox.
C'est probablement votre navigateur qui n'est pas à jour.

jeremyp3 · « **Réponse #6 le:** **Aujourd'hui** à 11:59:54 »

je confirme que le problème a été corrigé. ça ne fonctionnait pas ce matin et maintenant ça refonctionne

(sur le même navigateur, ça va de soit)

et le certificat à changé du coup:

Code: [Sélectionner]

* Server certificate:
*  subject: C=FR; L=ISSY LES MOULINEAUX; O=Orange SA; CN=boutique.orange.fr
*  start date: Sep 14 00:00:00 2025 GMT
*  expire date: Jun  8 23:59:59 2026 GMT
*  subjectAltName: host "boutique.orange.fr" matched cert's "boutique.orange.fr"
*  issuer: C=US; O=DigiCert Inc; CN=DigiCert Global G2 TLS RSA SHA256 2020 CA1
*  SSL certificate verify ok.

j'ai pas pensé de backup l'ancien retour avant de fermer mon terminal ce matin

mais il me semble que l'ancien expirait en février 2026 de mémoire

Power · « **Réponse #7 le:** **Aujourd'hui** à 12:13:34 »

Le certificat a bien été renouvelé à 00h00.
Les problèmes rencontrés par certains utilisateurs étaient liés au cache SSL de Firefox, qui conservait l'ancien certificat révoqué.

jeremyp3 · « **Réponse #8 le:** **Aujourd'hui** à 12:18:55 »

vu que ce matin à 10h30 avec une requête curl j'ai vu l'ancien certificat, ça doit être le cache de curl ...

@Power
je pense pas qu'il soit nécessaire de trouver des excuse à X ou Y. il y a eu un loupé, ce n'est pas très grave.

Power · « **Réponse #9 le:** **Aujourd'hui** à 12:23:43 »

Il n'y a eu aucun dysfonctionnement : les certificats SSL d'Orange sont renouvelés automatiquement, il ya eu un renouvellement ce jour à 0h00.
Si ton navigateur (comme Firefox) conserve en cache un ancien certificat SSL expiré, il s'agit d'un problème local lié à ton navigateur, et non d'une erreur côté Orange.

Citation de: jeremyp3 le Aujourd'hui à 12:18:55

vu que ce matin à 10h30 avec une requête curl j'ai vu l'ancien certificat, ça doit être le cache de curl ...

@Power
je pense pas qu'il soit nécessaire de trouver des excuse à X ou Y. il y a eu un loupé, ce n'est pas très grave.

Optix · « **Réponse #10 le:** **Aujourd'hui** à 12:29:21 »

Citation de: Power le Aujourd'hui à 12:23:43

Il n'y a eu aucun dysfonctionnement : les certificats SSL d'Orange sont renouvelés automatiquement, il ya eu un renouvellement ce jour à 0h00.
Si ton navigateur (comme Firefox) conserve en cache un ancien certificat SSL expiré, il s'agit d'un problème local lié à ton navigateur, et non d'une erreur côté Orange.

Non mais tu crois vraiment que Mme Michu sait gérer son cache de navigateur ?

Bien évidemment qu'Orange doit prendre ce genre de soucis en compte, même si ce n'est pas de sa faute.
Peut-être anticiper le renouvellement de quelques jours pour éviter les soucis de cache ?

alain_p · « **Réponse #11 le:** **Aujourd'hui** à 12:43:24 »

Citation de: Power le Aujourd'hui à 12:23:43

Il n'y a eu aucun dysfonctionnement : les certificats SSL d'Orange sont renouvelés automatiquement, il ya eu un renouvellement ce jour à 0h00.

Avec un certificat qui expirait le 19 Février 2026 ? Il est clair qu'il a été révoqué, pour une raison ou une autre (crainte qu'il ait été compromis ?), puis renouvelé.

En général, le renouvellement automatique (ACME), pour un certificat d'un an, c'est 1 mois avant la date d'expiration.